Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在使用 checkmarx 扫描代码以查找安全漏洞时,报告了指向变量名称的隐私侵犯问题。
public const string Authentication = "authentication";
我正在使用此变量通过此名称(“身份验证”)在缓存中创建一个区域,该区域存储所有与身份验证相关的详细信息。
为了解决隐私侵犯问题,是否可以将此变量名称更改为一些不太有意义的名称。这如何构成安全威胁?
Checkmarx 正在寻找具有“密码”、“凭据”、“身份验证”等名称的变量。当它看到您正在为它们分配一个值时,它会警告您您可能在代码中存储了敏感信息(对其进行硬编码) )。在您提到的情况下,它看起来像是误报,因为这不是敏感信息。
这可能是一个误报。您应该查看隐私侵犯规则查找的内容,并了解它的工作原理......
您还可以将其标记为误报并继续...将状态更改为不可利用